『红蓝对抗』EwoMail 结合 Gophish 的钓鱼邮件姿势

日期：2023-06-07

作者：pbfochk

介绍：EwoMail结合Gophish的钓鱼邮件姿势利用。

0x00 前言

EwoMail是基于Linux的开源邮件服务器软件，集成了众多优秀稳定的组件，是一个快速部署、简单高效、多语言、安全稳定的邮件解决方案，帮助你提升运维效率，降低IT 成本，兼容主流的邮件客户端，同时支持电脑和手机邮件客户端。

Gophish是为企业和渗透测试人员设计的开源网络钓鱼工具包。它提供了快速，轻松地设置和执行网络钓鱼攻击以及安全意识培训的能力。

0x01 EwoMail

1.1 安装

1.Centos安装telnet：

yum install telnet -y

2.测试25端口连通性：

一般服务器默认不开放25，国内外服务器自行选择，各有利弊。

telnet smtp.qq.com 25

3.配置建议：

centos7/8系统 64位，服务器需要干净环境，要求全新干净系统，不能安装在已有的nginx,mysql的环境中。
如需在已有配置数据环境安装，请自行参考安装代码修改和维护。
安装前请仔细看文档，建议使用centos7安装
最低配置要求（云服务器的最低建议配置）CPU：1核内存：2G硬盘：40G带宽：1-3M

4.关闭selinux：

vi /etc/sysconfig/selinuxSELINUX=enforcing 改为 SELINUX=disabled

5.http://www.ewomail.com/list-11.html，获取安装代码：

6.安装成功后将会输出Complete installation，查看安装的域名和数据库密码：

cat /ewomail/config.ini

7.将你安装的域名，例如安装的域名是xxx.com，就将这行加在服务器的hosts文件里 /etc/hosts：

127.0.0.1 mail.xxx.com smtp.xxx.com imap.xxx.com

8.域名添加7条解析记录：

9.访问地址（将IP更换成你服务器IP即可）：

邮箱管理后台：http://IP:8010 （默认账号admin，密码ewomail123）ssl端口 https://IP:7010
web邮件系统：http://IP:8000ssl端口 https://IP:7000
域名解析完成后，可以用子域名访问，例如下面http://mail.xxx.com:8000 (http)https://mail.xxx.com:7000 (ssl)

1.2 配置邮件服务器

1.邮件服务器首页：

2.域名配置：

3.添加邮箱：

4.访问邮箱系统进行登录使用：

5.设置账户名称以在收件人简称处显示：

1.3 邮件发送测试

发送测试邮件到QQ邮箱：

0x02 Gophish

2.1 安装

1.项目地址：https://github.com/gophish/gophish

2.Gophish适用于Ubuntu系统，因为Ewomail推荐Centos搭建，这次使用docker搭建Gophish：

yum install docker -ysystemctl start dockerdocker pull gophish/gophishdocker run -it -d --rm --name gophish -p 3333:3333 -p 89:80 -p 88:8080 gophish/gophishdocker logs gophish

3.访问映射后的后台端口：

1.设置smtp等配置（[email protected]已经提前在EwoMail中添加域名并创建邮箱账户、abcd.com创建对应hosts解析,需要确保你添加的域名未设置SPF，否则会不可用，可用“nslookup -type=txt 域名”来检测）:

2.添加收件人后测试收件效果是否为设置的邮箱地址：

3.收件人视角：

4.配置钓鱼页面，针对目标特点配置对应风格（保存后直接复制内容导入或利用mip22导入对应页面）：

本次模拟均为测试，以steam登录为例。

5.配置邮件模板，导出选择的邮件格式为eml格式后，复制到HTML处：

1.选择Campaigns，创建新的钓鱼活动：

2.选择对应配置好的模板、跳转页，在URL处填入Gophish的接口地址与端口，点击发送；目标打开邮件后，后台会显示收件人的对应信息：

3.目标收到构造好的邮件后点击按钮：

4.跳转到构造好的钓鱼页面：

5.在钓鱼页面输入对应信息，如账户、密码后，Gophish会将信息返回至后台：

1.针对Ewomail与Gophish的钓鱼方式还包括利用未开启SPF的对应目标企业单位域名，伪造其邮件地址对其进行钓鱼，搭配对应的常用系统或者敏感内容（例如薪资、社保等），引导其打开附件内的导航链接或附件，获取目标计算机的控制权。

2.例如利用微信截图名称的文件等可以引起目标好奇心的文件诱导其执行：

0x03 总结

总结起来，钓鱼邮件是一种非常有效的网络欺诈手段，它利用了人们的社交工程和心理漏洞。通过伪装成可信的实体或组织，攻击者试图获取用户的敏感信息、登录凭据或进行其他恶意活动。钓鱼邮件是攻击者利用社交工程和技术手段欺骗用户的一种常见方式。通过了解攻击者的策略和方法，用户可以更好地保护自己，提高网络安全意识，并采取适当的防范措施来减少成为钓鱼攻击的受害者的风险。